تشمل هذه المقالة على توصيات الأمان الخاصة بتخزين الكائن الثنائي كبير الحجم. يساعدك تنفيذ هذه التوصيات على الامتثال في تنفيذ التزامات الأمان كما هو موضح في نموذج المسؤولية المشتركة. لمزيد من المعلومات حول كيفية وفاء Microsoft بمسؤوليات موفر الخدمة، راجع المسؤولية المشتركة في السحابة.
يمكن مراقبة بعض التوصيات المضمنة في هذه المقالة تلقائيا بواسطة Microsoft Defender لل Cloud، وهو خط الدفاع الأول في حماية مواردك في Azure. للحصول على مزيد من المعلومات بشأنMicrosoft Defender for Cloud، راجع ما هو Microsoft Defender for Cloud؟
يحلل Microsoft Defender for Cloud بشكل دوري حالة أمان موارد Azure من أجل تحديد الثغرات الأمنية المحتملة. ثم يقدم لك توصيات بشأن كيفية معالجتها. لمزيد من المعلومات بشأن توصيات Microsoft Defender للسحابة، راجع مراجعة توصيات الأمان الخاصة بك.
حماية البيانات
التوصية
تعليقات
Defender للسحابة
استخدم نموذج النشر الخاص بـ Azure Resource Manager.
إنشاء حسابات تخزين جديدة باستخدام نموذج توزيع Azure Resource Manager لتحسينات الأمان الهامة، بما في ذلك التحكم في الوصول استنادا إلى الدور في Azure (Azure RBAC) والتدقيق والنشر المستند إلى Resource Manager والحوكمة والوصول إلى الهويات المدارة والوصول إلى Azure Key Vault للبيانات السرية ومصادقة Microsoft Entra والتخويل للوصول إلى بيانات وموارد Azure Storage. إذا كان ذلك ممكنا، يتعين ترحيل حسابات التخزين الحالية التي تستخدم نموذج النشر الكلاسيكي لاستخدام مدير موارد Azure . لمزيد من المعلومات حول مدير موارد Azure، يرجى الاطلاع على نظرة عامة بشأن مدير موارد Azure.
-
تمكين Microsoft Defender لجميع حسابات التخزين الخاصة بك
يوفر Microsoft Defender for Storage طبقة إضافية من التحليل الذكي الخاصة بمخاطر الأمان التي تكشف عن محاولات غير عادية يحتمل أن تكون ضارة للوصول إلى حسابات التخزين أو استغلالها. يتم تشغيل تنبيهات الأمان في Microsoft Defender for Cloud عند حدوث حالات شاذة في النشاط، كما يتم إرسالها عبر البريد الإلكتروني إلى مسؤولي الاشتراك، مع تفاصيل الأنشطة المشبوهة وتوصيات حول كيفية التحقيق في التهديدات وكيفية التعامل معها. للحصول على مزيد من المعلومات، راجع تكوينMicrosoft Azure Storage.
يتيح لك الحذف المبدئي للكائنات الثنائية كبيرة الحجم استرداد بيانات الكائنات الثنائية كبيرة الحجم بعد حذفها. لمزيد من المعلومات حول الحذف المبدئي للنقاط، راجع الحذف المبدئي لنقاط تخزين Azure.
-
تشغيل الحذف المبدئي للحاويات
يمكنك الحذف المبدئي للحاويات من استرداد حاوية بعد حذفها. لمزيد من المعلومات، راجع الحذف المبدئي للحاويات.
-
تأمين حساب التخزين لمنع الحذف العرضي أو الضار أو تغييرات التكوين
تطبيق قفل Azure Resource Manager على حساب التخزين الخاص بك لحماية الحساب من الحذف أو تغيير التكوين العرضي أو الضار. لا يمنع قفل حساب تخزين البيانات الموجودة داخل هذا الحساب من الحذف. لكنه يمنع فقط الحساب نفسه من الحذف. لمزيد من المعلومات، راجع تطبيق قفل Azure Resource Manager على حساب تخزين.
تخزين البيانات المهمة للأعمال في الكائنات الثنائية كبيرة الحجم غير القابلة للتغيير
تكوين احتجازات قانونية ونهج استبقاء مستندة إلى الوقت لتخزين بيانات الكائنات الثنائية كبيرة الحجم في حالة WORM (الكتابة مرة واحدة، قراءة العديد). يمكن قراءة الكائنات الثنائية كبيرة الحجم المخزنة بشكل غير قابل للتحديد، ولكن لا يمكن تعديلها أو حذفها طوال مدة فاصل الاستبقاء. لمزيد من المعلومات، راجع تخزين بيانات البيانات الثنائية الكبيرة المهمة للأعمال باستخدام وحدة تخزين ثابتة.
-
يتطلب نقل آمن ("https") إلى حساب التخزين
عندما تحتاج إلى نقل آمن لحساب تخزين، يجب تقديم جميع الطلبات إلى حساب التخزين عبر HTTPS. يتم رفض أي طلبات يتم تقديمها عبر HTTP. توصي Microsoft بأن تطلب دائماً النقل الآمن لجميع حسابات التخزين الخاصة بك. لمزيد من المعلومات، راجع طلب نقل آمن لضمان اتصالات آمنة.
-
تقييد رموز التوقيع المتعلقة بالوصول المشترك (SAS) إلى اتصالات HTTPS فقط
بشكل افتراضي، يسمح للمستخدم المعتمد بتكوين نهج النسخ المتماثل للكائن حيث يكون الحساب المصدر في مستأجر Microsoft Entra واحد وحساب الوجهة في مستأجر مختلف. عدم السماح بالنسخ المتماثل للكائن عبر المستأجرين لمطالبة حسابات المصدر والوجهة المشاركة في نهج النسخ المتماثل للكائنات في نفس المستأجر. لمزيد من المعلومات، راجع منع النسخ المتماثل للكائنات عبر مستأجري Microsoft Entra.
-
إدارة الهوية والوصول
التوصية
تعليقات
Defender للسحابة
استخدام معرف Microsoft Entra لتخويل الوصول إلى بيانات الكائن الثنائي كبير الحجم
يوفر معرف Microsoft Entra أمانا فائقا وسهولة في الاستخدام عبر المفتاح المشترك لتخويل الطلبات إلى تخزين Blob. لمزيد من المعلومات، راجع السماح بالوصول إلى البيانات في تخزين Azure.
-
ضع في اعتبارك مبدأ الامتياز الأقل عند تعيين أذونات إلى أساس أمان Microsoft Entra عبر Azure RBAC
عند تعيين دور إلى مستخدم أو مجموعة أو تطبيق، يتعين منح هذا الأمان الأساسي فقط تلك الأذونات الضرورية لتنفيذ مهامه. يساعد تقييد الوصول إلى الموارد على منع إساءة استخدام البيانات بشكل غير المتعمد والضار.
-
استخدام تفويض مستخدم SAS لمنح وصول محدود إلى بيانات الكائن الثنائي كبير الحجم للعملاء
يتم تأمين SAS لتفويض المستخدم باستخدام بيانات اعتماد Microsoft Entra وأيضا من خلال الأذونات المحددة ل SAS. تفويض المستخدم SAS مماثل لخدمة SAS من حيث نطاقها ووظيفتها، ولكنها تقدم مزايا أمنية على خدمة SAS. للحصول على مزيدٍ من المعلومات، راجع منح الوصول المحدود إلى موارد تخزين Azure باستخدام توقيعات الوصول المشتركة (SAS).
-
العمل على تأمين مفاتيح الوصول إلى حسابك باستخدام Azure Key Vault
توصي Microsoft باستخدام معرف Microsoft Entra لتخويل الطلبات إلى Azure Storage. ومع ذلك، إذا كان يجب عليك استخدام تخويل المفتاح المشترك، يتعين تأمين مفاتيح الحساب الخاص بك باستخدام Azure Key Vault. يمكنك استرداد المفاتيح من مخزن المفاتيح أثناء وقت التشغيل، بدلا من حفظها مع التطبيق الخاص بك. لمزيدٍ من المعلومات حول Azure Key Vault، راجع نظرة عامة على Azure Key Vault.
-
إعادة إنشاء مفاتيح الحساب الخاص بك بشكل دوري
يؤدي تدوير مفاتيح الحساب بشكل دوري إلى تقليل مخاطر تعريض بياناتك إلى جهات ضارة.
-
عدم السماح بتخويل المفتاح المشترك
عندما لا تسمح بتخويل المفتاح المشترك لحساب تخزين، يرفض Azure Storage جميع الطلبات اللاحقة لهذا الحساب المصرح بها باستخدام مفاتيح الوصول إلى الحساب. لن تنجح سوى الطلبات المؤمنة المخولة باستخدام معرف Microsoft Entra. لمزيد من المعلومات، انظر منع تخويل "مفتاح مشترك" لحساب تخزين Azure.
-
ضع في اعتبارك مبدأ الامتياز الأقل عند تعيين أذونات إلى SAS
عند إنشاء SAS، يتعين تحديد فقط تلك الأذونات التي يحتاجها العميل لأداء وظيفته. يساعد تقييد الوصول إلى الموارد على منع إساءة استخدام البيانات بشكل غير المتعمد والضار.
-
يجب وضع خطة إبطال لأي SAS تصدرها للعملاء.
إذا تم اختراق SAS، حينها يتعين إبطال SAS في أقرب وقت ممكن. لإبطال تفويض مستخدم SAS، قم بإلغاء مفتاح تفويض المستخدم لإبطال كافة التواقيع المقترنة بهذا المفتاح بسرعة. لإبطال خدمة SAS مقترنة بنهج وصول مخزن، يمكنك حذف نهج الوصول المخزن أو إعادة تسمية النهج أو تغيير وقت انتهاء صلاحيته إلى وقت سابق. للحصول على مزيدٍ من المعلومات، راجع منح الوصول المحدود إلى موارد تخزين Azure باستخدام توقيعات الوصول المشتركة (SAS).
-
إذا كانت خدمة SAS غير مرتبطة بنهج الوصول المخزن، يجب تعيين وقت انتهاء الصلاحية بساعة واحدة أو أقل.
لا يمكن إبطال خدمة SAS غير المقترنة مع نهج الوصول المخزن. لهذا السبب ، يوصى بتحديد وقت انتهاء الصلاحية بحيث تكون فترة صلاحية SAS لمدة ساعة واحدة أو أقل.
-
تعطيل الوصول للقراءة المجهولة إلى الحاويات والكائنات الثنائية كبيرة الحجم
يمنح الوصول للقراءة المجهولة إلى حاوية والكائنات الثنائية كبيرة الحجم الخاصة بها حق الوصول للقراءة فقط إلى هذه الموارد إلى أي عميل. تجنب تمكين الوصول للقراءة المجهولة ما لم يتطلب السيناريو الخاص بك ذلك. لمعرفة كيفية تعطيل الوصول المجهول لحساب تخزين، راجع نظرة عامة: معالجة الوصول للقراءة المجهولة لبيانات الكائن الثنائي كبير الحجم.
-
الشبكات
التوصية
تعليقات
Defender للسحابة
تكوين الإصدار الأدنى المطلوب من أمان طبقة النقل (TLS) لحساب تخزين.
اطلب من العملاء استخدام إصدار أكثر أمانا من طبقة النقل الآمنة لتقديم طلبات مقابل حساب التخزين الخاص بـ Azure عن طريق تكوين الحد الأدنى لإصدار طبقة النقل الآمنة لهذا الحساب. لمزيد من المعلومات، راجع تكوين الأدنى للإصدار المطلوب من أمان طبقة النقل (TLS) لحساب التخزين
-
تمكين خيار النقل الآمن المطلوب على كافة حسابات التخزين الخاصة بك.
عند تمكين الخيار Secure transfer required، يجب أن تتم جميع الطلبات المقدمة مقابل حساب التخزين عبر اتصالات آمنة. ستفشل أي طلبات تتم عبر HTTP. لمزيد من المعلومات، راجع طلب النقل الآمن الخاص بتخزين Azure .
قم بتكوين قواعد جدار الحماية للحد من الوصول إلى حساب التخزين الخاص بك للطلبات التي تنشأ من عناوين IP أو النطاقات المحددة، أو من قائمة الشبكات الفرعية في شبكة Azure الظاهرية (VNet). للحصول على مزيدٍ من المعلومات حول تكوين قواعد جدار الحماية، راجع تكوين جدران حماية تخزين Azure والشبكات الظاهرية.
-
السماح لخدمات Microsoft الموثوقة بها بالوصول إلى حساب التخزين.
يؤدي تشغيل قواعد جدار الحماية لحساب التخزين خاصتك إلى حظر الطلبات الواردة للحصول على البيانات افتراضيًا، إلا إذا كانت الطلبات تنشأ من خدمة تعمل داخل شبكة Azure الظاهرية (VNet) أو من عناوين IP العامة المسموح بها. تتضمن الطلبات المحظورة الطلبات الواردة من خدمات Azure الأخرى، ومن مدخل Azure، ومن خدمات التسجيل والقياسات، وما إلى ذلك. يمكنك السماح بالطلبات من خدمات Azure الأخرى عن طريق إضافة استثناء للسماح لخدمات Microsoft الموثوقة بالوصول إلى حساب التخزين. للحصول على مزيدٍ من المعلومات حول إضافة استثناء بشأن خدمات Microsoft الموثوقة، راجع تكوين جدران حماية Azure Storage والشبكات الظاهرية.
-
استخدم نقاط النهاية الخاصة
تنشأ نقطة النهاية الخاصة بتعيين عنوان IP خاص من شبكة Azure الظاهرية (VNet) إلى حساب التخزين. إنه يؤمن كل نسبة استخدام الشبكة بين VNet وحساب التخزين عبر الرابط الخاص. للحصول على مزيد من المعلومات بشأن نقاط النهاية الخاصة، راجع الاتصال بشكل خاص إلى حساب تخزين باستخدام نقطة نهاية Azure الخاصة.
-
يتعين استخدام علامات خدمة الشبكة الظاهرية
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تُدير Microsoft بادئات العناوين التي تشملها علامة الخدمة، كما تُحدّث علامة الخدمة تلقائيًا مع تغيير العناوين. للحصول على مزيد من المعلومات بشأن علامات الخدمة التي يدعمها تخزين Azure، راجع نظرة عامة على علامات خدمة Azure. للحصول على برنامج تعليمي يوضح كيفية استخدام علامات الخدمة لإنشاء قواعد الشبكة الصادرة، راجع تقييد الوصول إلى الموارد الخاصة بـ PaaS.
-
التقييد المتعلق بالوصول إلى شبكة الاتصال بشبكات محددة.
يؤدي تقييد الوصول إلى الشبكات التي تستضيف العملاء الذين يحتاجون إلى الوصول إلى تقليل تعرض الموارد الخاصة بك لهجمات الشبكة.
يمكنك تكوين تفضيل توجيه الشبكة لحساب تخزين Azure الخاص بك لتحديد كيفية توجيه حركة مرور الشبكة إلى حسابك من العملاء عبر الإنترنت باستخدام شبكة Microsoft العمومية أو توجيه الإنترنت. لمزيد من المعلومات، راجع تكوين تفضيل توجيه الشبكة لتخزين Azure.
قم بتكوين تنبيهات السجلات لتقييم سجلات الموارد بترددات مجموعة، ثم قم بتنبيه استنادا إلى النتائج. لمزيد من المعلومات، راجع تنبيهات السجلات في Azure Monitor.